集合组查询被 Firebase 规则拒绝

Question

用户、项目作为顶级集合，任务作为项目的子集合 以下是安全规则，我在允许对任务进行集合组查询时遇到了麻烦。即使我删除了对 createdBy 的检查，似乎也不起作用，当我为任务资源运行模拟器时，我的规则有效

match /projects/{projectID} {
  allow read, delete, update: if request.auth.uid == resource.data.createdBy;
  allow create: if request.auth != null;
}

match /users/{userID} {
    allow read, delete, update: if request.auth.uid == userID;
  allow create: if request.auth != null;
}

match /projects/{projectID}/tasks/{taskID} {
  allow read, delete, update: if request.auth.uid == resource.data.createdBy;
  allow create: if request.auth != null;
}

这是我的收藏组查询

_firestore
    .collectionGroup('tasks')
    .where('dueDate', isEqualTo: DateTimeHelper.today)
    .where('createdBy', isEqualTo: user.id)
    .snapshots()
    .map((list) => list.documents.map((doc) {
          String projectId = doc.reference.parent().parent().documentID;
          String taskId = doc.documentID;
          return Task.fromDocument(doc, taskId, projectId);
        }).toList());

Answer 1

您的所有规则均不适用于集合组查询。您应该查看documentation on rules for collection groups。从该页面：

在您的安全规则中，您必须明确允许集合组 通过为集合组编写规则来查询：

1. 确保 rules_version = '2';是您的规则集的第一行。集合组查询需要新的递归通配符 {name=**} 安全规则版本 2 的行为。
2. 使用 match /{path=**}/[COLLECTION_ID]/{doc} 为您的集合组编写规则。

所以你的规则看起来更像这样：

rules_version = '2';  // at the very top of your rules

match /{path=**}/tasks/{taskID} {
  allow read, delete, update: if request.auth.uid == resource.data.createdBy;
  allow create: if request.auth != null;
}